Scoperta vulnerabilità nella chat di gruppo di WhatsApp

Secondo quanto riportato dal sito Android Central , Paul Rösler, Christian Mainka, and Jörg Schwenk della Ruhr-Universität di Bochum, Germania, hanno individuato una vulnerabilità nella chat di gruppo di WhatsApp. La vulnerabilità permette di superare il sistema di cifratura end to end del programma di messaggistica.

Tutti i messaggi inviati in un gruppo di WhatsApp sono infatti cifrati ed il loro contenuto può essere letto soltanto dai suoi destinatari che in quanto membri della chat dispongono delle chiavi di decrittazione.

La vulnerabilità scoperta dai ricercatori tedeschi sfrutta il meccanismo di invio del messaggio con la richiesta inserimento di un utente al gruppo da parte del suo amministratore. Quando un amministratore aggiunge un nuovo utente al gruppo invia infatti un messaggio al server di WhatsApp il quale provvede quindi ad agganciare il nuovo membro informando tutti gli iscritti. La richiesta di inserimento da parte dell’amministratore ad un gruppo non è crittografata e pertanto chiunque abbia accesso ai server di WhatsApp può aggiungere abusivamente qualsiasi utente alla chat. Se una chat di gruppo può avere sino a 250 partecipanti, potete facilmente immaginare quanto sia complicato controllare chi sia realmente in ascolto; questa difficoltà si trasforma in seria vulnerabilità  se qualcuno, accedendo ai server del programma di messaggistica, abbia la concreta possibilità di inserire abusivamente un utente.

The problem is that WhatsApp isn’t properly authenticating these group management requests on its own servers. A WhatsApp server needs to properly ID the sender of a message that would add a person to a group chat. The person sends a message that IDs both the group and the member it wishes to add and the server checks to make sure the person who sent it is actually a chat administrator. These messages aren’t end-to-end encrypted, and instead use standard transport encryption — the message coming from a chat administrator and going to a server that requests a user be added to a chat is not signed by the sender with their encryption key.

This means a WhatsApp server can add any user it wants to any group, at any time. The server can, not another user. That’s important, and it means any privacy expected in a WhatsApp group chat depends solely on trusting the WhatsApp chat server. That defeats the entire purpose of end-to-end encryption, which is designed so that privacy is guaranteed even if a server is compromised because only the sender and recipient can decrypt a message. (fonte: Android Central)

Il paper dei ricercatori tedeschi riguarda anche Signal e Threema e merita una lettura approfondita.

Skip to content